Política de Seguridad de la Información (PSI)
Última actualización: 24 de mayo de 2022
INTRODUCCIÓN
Con la llegada de la Ley General de Protección de Datos Personales (Ley N° 13.709, de 14 de agosto de 2018), SleepUp inició su Programa de Gobernanza de la Privacidad y Protección de Datos Personales.
Desde entonces, las iniciativas de adaptación han sido procesos constantes, que perdurarán durante toda la vida de nuestra Organización, ya que cada día se desarrollan nuevos servicios y productos, se cambian procesos internos, se refuerzan medidas técnicas y administrativas en seguridad de la información.
En este sentido, los servicios prestados por nuestra infraestructura tecnológica cumplen con las normas técnicas relativas al almacenamiento, tratamiento, transmisión de datos, confidencialidad, privacidad y garantía del secreto profesional, adoptando los mejores esfuerzos para preservar la privacidad y seguridad de los datos.
Teniendo en cuenta que las normas de buenas prácticas y gobierno de la privacidad deben establecer las condiciones organizacionales, régimen operativo, procedimientos que involucran actividades relacionadas con la Seguridad de la Información (SI), esta Política consiste en un conjunto de lineamientos y reglas cuyo objetivo es posibilitar la planificación , implementación y control de acciones relacionadas con la seguridad de la información de SleepUp.
REGLAS GENERALES
La Política de Seguridad de la Información es permanente. El contenido de este documento podrá ser modificado en cualquier momento según las necesidades actuales. Los profesionales de SleepUp y sus proveedores de servicios deberán, siempre que sea necesario, consultar la última versión disponible.
Esta Política de Seguridad de la Información (“Política”) se aplica a todos los niveles jerárquicos de SleepUp, socios, gerentes, empleados, consultores, empleados, aprendices, pasantes y proveedores de servicios (“Colaboradores”), y todos los Empleados son conscientes de que deben conocer y respetar todas las normas aquí establecidas, siendo conscientes de que el incumplimiento de dichas normas puede dar lugar a la imposición de sanciones administrativas por parte del Directorio, dependiendo del grado de gravedad de la conducta, incluyendo el despido/terminación de la relación contractual.
El objetivo central de esta Política es difundir entre todos los Colaboradores de SleepUp las políticas y procedimientos definidos para garantizar la integridad de la información producida y gestionada dentro del entorno laboral. Es responsabilidad de cada uno de sus Colaboradores garantizar la total confidencialidad e integridad de la información producida diariamente en el piso y/o en el ambiente de trabajo.
Todos los Empleados son conscientes de que toda la información generada internamente por SleepUp y/o recibida de los Usuarios o Clientes para el desarrollo de actividades de cualquier naturaleza es estrictamente confidencial y debe permanecer intacta durante toda su existencia. Asimismo, los Colaboradores, al utilizar cualquier medio electrónico (chats, skype, google meet, zoom, correos electrónicos, internet, entre otros), para la realización de sus actividades, deberán considerar su uso como propiedad de la empresa y en interés de la empresa. compañía. . Queda estrictamente prohibido el uso de medios electrónicos con fines privados. También vale la pena señalar que el acceso a los correos electrónicos e Internet se respalda semanalmente y puede estar sujeto a auditorías y revisiones en cualquier momento, quedando a completa disposición de la administración de SleepUp.
La responsabilidad del Empleado y/o proveedor de servicios respecto de la confidencialidad e integridad de la información es obligatoria incluso después de su despido y debe cumplirse de acuerdo con los puntos de esta política.
Como elementos de cumplimiento, SleepUp establece las siguientes medidas técnicas y administrativas relacionadas con el tratamiento de datos personales, con revisiones periódicas.
1. Medidas administrativas
1.1 Concientización y Capacitación. El recurso humano de SleepUp deberá recibir capacitación y sensibilización sobre sus obligaciones y responsabilidades relacionadas con el tratamiento de datos personales.
1.2 La información proporcionada a los Empleados son recomendaciones sobre: (i) cómo utilizar los controles de seguridad en los sistemas de TI relacionados con el trabajo diario; (ii) cómo evitar ser víctimas de incidentes de seguridad, como contaminación de virus o ataques de phishing, entre otros; (iii) mantener los documentos físicos que contengan datos personales en cajones, y no en mesas; (iv) no compartir nombres de usuario y contraseñas para estaciones de trabajo; (v) bloquear las computadoras cuando abandone sus estaciones de trabajo, para evitar el acceso no autorizado por parte de terceros; (vi) prohibir la transferencia de datos personales desde estaciones de trabajo a dispositivos de almacenamiento externos, tales como pendrives, discos duros externos, entre otros; (vi) informar de inmediato los incidentes y vulnerabilidades detectadas; (vii) seguir los lineamientos de la política de seguridad de la información (PSI).
1.3 Gestión de contratos: SleepUp requiere que todos los Empleados firmen un acuerdo de confidencialidad (acuerdo de confidencialidad-NDA) para comprometerse a no revelar información confidencial que involucre datos personales; para los proveedores que procesan datos personales en servicios de TI, la adecuación de los contratos incluye, entre otros, cláusulas de seguridad de la información que garanticen una adecuada protección de los datos personales, reglas sobre el intercambio de datos personales, relaciones entre responsable-operador, orientaciones sobre el tratamiento a realizar y prohibiciones de tratamientos que sean incompatibles con las directrices de SleepUp;
1.4 Organización de Seguridad de la Información – Controles sobre cómo se definen y gestionan las responsabilidades en SleepUp con base en el sistema de control de acceso a datos personales aplicable a todos los usuarios, con niveles de permiso proporcionales a la necesidad de acceder a datos personales, aplicando -la premisa de privilegio mínimo (necesidad saber), es decir, los usuarios del sistema SleepUp tendrán el nivel más bajo de acceso únicamente para realizar sus actividades;
1.5 Seguridad física y ambiental: controles que definen áreas seguras, controles de entrada, protección contra amenazas, seguridad de equipos, eliminación segura, política de mesa limpia y pantalla limpia;
2. Medidas técnicas
2.1 Gestión de Activos de Información – Se realizan controles relacionados con el inventario de activos, uso aceptable, clasificación de la información y manejo de medios;
2.2 Control de Acceso – Se realizan controles en los procesos de autenticación (identificación de quién accede a los sistemas o datos) y autorización (determinación de lo que el usuario puede hacer); además de configurar contraseñas con cierto nivel de complejidad, definiendo, por ejemplo, la necesidad de utilizar un carácter especial u otros factores necesarios para proteger los datos personales contra el acceso no autorizado;
2.3 Criptografía - Se realizan controles relacionados con la gestión de claves criptográficas SSL para la comunicación entre servicios a través de API, además de la seguridad de la red y el cifrado de bases de datos para evitar la fuga de datos personales durante todo el ciclo de procesamiento.
2.4 Seguridad en las Operaciones – Se realizan controles relacionados con la gestión de la producción involucrando la arquitectura de las tecnologías que soportan los productos/sistemas tales como: gestión de cambios, gestión de capacidades, software malicioso, respaldos diarios con almacenamiento por 7 días, grabación de eventos, monitoreo, instalación, vulnerabilidades y realización de copias de seguridad periódicas fuera de línea con almacenamiento seguro;
2.5 Seguridad de las Comunicaciones – Se realizan controles relacionados con la seguridad de los datos en tránsito por la red, segregación, servicios de red, transferencia de información, mensajería; uso de conexiones cifradas (TLS/HTTPS) o aplicaciones con cifrado de extremo a extremo para servicios de comunicación; instalación y mantenimiento de un sistema de firewall y/o uso de un Firewall de Aplicación Web (WAF -Application Filter) que monitorea, detecta y bloquea amenazas, evitando conexiones a redes no confiables; protección de servicios de correo electrónico, mediante antivirus integrado, herramienta antispam y filtros de correo electrónico; eliminar cualquier dato sensible y otros datos personales que estén innecesariamente disponibles en redes públicas;
2.6 Gestión de vulnerabilidades: Periódicamente se realizan actualizaciones de todos los sistemas y aplicaciones utilizadas, manteniéndolos en su versión actualizada; se adoptan y actualizan periódicamente software antivirus y antimalware; se realizan análisis antivirus periódicos de los sistemas utilizados;
2.7 Adquisición, desarrollo y mantenimiento de sistemas - Controles que definen los requisitos de seguridad y protección en los procesos de desarrollo y soporte. Todos los proveedores de Tipo SAAS están aprobados de acuerdo con nuestras Políticas de Privacidad y Seguridad de Datos.
2.8 Relaciones de la Cadena de Suministro y Servicios en la Nube – Evaluación de Proveedores Controles para la selección, evaluación y reevaluación de proveedores externos.
2.9 Gestión de incidentes de seguridad de la información – Toda la infraestructura está sujeta a trazabilidad, lo que incluye informar al DPO sobre la fecha y hora en que ocurrió el incidente de fuga, y describir brevemente cómo ocurrió el incidente, la naturaleza de los datos afectados, el número de afectados. titulares, la categoría de titulares afectados, y qué medidas de seguridad se utilizaron para proteger los datos, con el fin de prevenir la incidencia y las que se adoptaron tras tener conocimiento del incidente de filtración.
2.10 Aspectos de seguridad de la información en la gestión de la continuidad del negocio - Establece lineamientos con el fin de minimizar los impactos negativos causados por cualquier evento que pueda representar un riesgo para la continuidad del negocio de SleepUp.
2.11 Cumplimiento – Se realizan controles solicitando la identificación de leyes y regulaciones aplicables, protección de la propiedad intelectual, protección, protección de datos personales y revisiones de seguridad de la información.
3. Versión
Versión actualizada el 24 de mayo de 2022